风险识别SDK隐私权政策

更新日期:2023年10月18日

生效日期:2023年10月18日

提示条款


 阿里云计算有限公司(以下可统称为“我们”或“风险识别”)高度重视个人信息的保护,在您(以下可简称“开发者”)使用风险识别提供的服务时(以下可简称“风险识别服务”),我们将根据法律法规要求并参照行业最佳实践为您的个人信息安全提供充分保障。为此,我们制定本《隐私权政策》(下称“本政策/“本隐私权政策”)以帮助您充分了解我们对您和您的最终用户(即“您的产品的最终用户”或“您的产品的终端用户”,以下同)的个人信息的处理方式。在您开始使用我们的产品和服务前,请您务必先仔细阅读和理解本政策,特别应重点阅读我们以粗体/粗体下划线标识的条款,确保您充分理解和同意后再开始使用。

本隐私政策适用于风险识别提供的SDK服务。

 在使用风险识别产品或服务前,请您务必仔细阅读并透彻理解本政策,特别是以粗体下划线标识的条款,您应重点阅读,在确认充分理解并同意后使用相关产品或服务。如您对本隐私政策有任何疑问,您可以通过本隐私政策公布的联系方式与我们联系。如果您不同意本隐私政策的内容,您应停止使用风险识别服务。

 

本私政策将帮助您了解以下内容:

一、我们如何收集和使用您以及您最终用户的个人信息

二、我们如何使用Cookie 等同类技术

三、我们如何共享、转让、公开披露您以及您最终用户的个人信息

四、我们如何保护您以及您最终用户的个人信息

五、您以及您最终用户如何行使个人信息的权利

六、我们如何处理未成年人的信息

七、您以及您最终用户的个人信息储存与全球范围转移

八、本隐私政策如何更新

九、如何联系我们

 

一、 我们如何收集和使用您以及您最终用户的个人信息

我们收集信息是为了更好、更优、更准确的完成您所选择的服务。风险识别仅会出于本政策所述的业务功能需要以及目的,并通常会在征得您同意的情况下收集和使用您以及您最终用户的信息。我们收集信息的方式如下:

1、您向我们提供的信息

我们在您注册阿里云账号时,已收集您的相关信息,您可通过《法律声明及隐私权政策》查阅我们收集的信息及用途。

2、在您/最终客户使用服务过程中收集的信息

(1)设备信息

当您使用风险识别产品且接入设备风险识别SDK服务时,为了检测最终用户的设备欺诈与作弊行为,识别设备的真实性,我们会获取最终用户的:

备基础信息:设备制造商、设备品牌、设备类型及型号、设备名称、设备操作系统信息、设备内存及存储大小、传感器列表、电池及电量信息、基带信息、开机时间、屏幕亮度及分辨率、CPU信息、系统时区、系统语言、充电状态、系统内核信息;

设备标识信息(必要):IDFV;

设备标识信息(可选):IMEI(国际移动识别码)、IMSI(国际移动用户识别码)、MAC地址、ICCID(集成电路卡识别码)、硬件序列号、IDFA、Android ID、OAID、Google AID(Google广告ID)、蓝牙MAC;

设备网络信息:IP地址(可选)、附近WIFI列表(可选)、BSSID(可选)、SSID(可选)、运营商信息、网络类型、网络状态、SIM卡状态、网卡信息;

设备应用信息:SDK宿主APP信息(包括:应用名称、应用版本、安装时间)、应用列表(可选)。

(2)日志信息

当您使用我们风险识别时,我们会自动收集您对我们服务的详细使用情况,作为有关操作日志保存,包括您的操作参数、操作时间、服务响应时间、操作步骤、验证结果、错误原因。

请注意,单独的设备信息、日志信息等是无法识别特定自然人身份的信息。如果我们将这类非个人信息与其他信息结合用于识别特定自然人身份,或者将其与个人信息结合使用,则在结合使用期间,这类非个人信息将有可能被视为个人信息,除取得您授权或法律法规另有规定外,我们会将该类个人信息做匿名化、去标识化处理。

       (3)其他

除上述信息外,我们还可能为了提供服务及改进服务质量的合理需要而收集您的其他信息,包括您与我们的客户服务团队联系时提供的相关信息,您参与问卷调查时向我们发送的问卷答复信息,以及您与风险识别的关联方、风险识别合作伙伴之间互动时我们收集的相关信息。

请注意,单独的设备信息、服务日志信息是无法识别特定自然人身份的信息。如果我们将这类非个人信息与其他信息结合用于识别特定自然人身份,或者将其与个人信息结合使用,则在结合使用期间,这类非个人信息将被视为个人信息,除取得您授权或法律法规另有规定外,我们会将这类信息做匿名化、去标识化处理。

3、您何如合规的使用风险识别

如果您接受本隐私政策并把我们的SDK集成到您的产品中,您应当根据适用的法律、法规和监管要求和本隐私政策的规定,保证我们可以合法地收集和使用您的最终用户的相关个人信息,以提供风险识别的相关服务。请您务必做到如下几点:

(1)  请务必确保您已经将风险识别升级到满足监管新规的最新版本。

(2) 请务必在您的《隐私政策》中向用户明确告知您使用了风险识别,参考如下内容:

使用的SDK名称:设备风险识别SDK;

服务类型:检测异常设备,识别作弊及欺诈风险;

收集的各个信息类型:请您参考本隐私政策公示内容向您的用户明确告知SDK收集的个人信息字段;

SDK隐私政策链接:https://terms.aliyun.com/legal-agreement/terms/suit_bu1_ali_cloud/suit_bu1_ali_cloud202112071754_83380.html

(3)  您务必确保用户同意《隐私政策》之后,再使用阿里云设备风险识别SDK采集信息。如无必要,请勿在启动应用时采集设备信息,避免过度或过早采集用户信息。


如果您在欧盟成员国提供服务,您理解您处理个人数据必须有适当的法律基础。这些法律基础可能包括:为履行与最终用户之间的合同(例如,为最终用户提供其所请求的服务、对其进行识别和认证,以便其可以使用网站);为遵守法律要求(例如,为遵守适用的会计规则,履行执法部门强制披露的要求);为您的正当利益(例如,管理您与最终用户的关系,为确保服务的安全性,与最终用户沟通我们的产品和服务);以及基于最终用户的同意(例如,投放cookies,为广告宣传之目的与第三方共享最终用户的信息)。您在此进一步保证,您应在您的隐私权政策中要求您的最终用户同意我们的隐私政策。如您的最终用户因本隐私政策项下对其信息的收集、使用、披露而致使我们遭受任何形式的诉请、诉求以及投诉等,您将负责全面给予解决;如导致我们发生相应形式的损失,您将负责给予我们全额赔偿。

     如果您在欧盟成员国提供服务,根据适用法律,最终用户有权反对或要求限制对其个人数据的处理,并要求其本人数据的访问、校正、删除和可携带权。在对您对最终用户信息的使用是基于其同意的情况下,最终用户还有权在任何时候撤回该同意。如果您需要我们的协助以满足您最终用户的权利要求,您可以通过工单系统告知我们(具体路径为登陆您的账号,点击客服工单,选择法务问题咨询以及隐私政策咨询类型进行工单反馈),我们会向您提供协助。您理解您的最终用户如果认为您对其个人数据的处理违反了适用法律,可以向监管机构投诉。

4、征得授权同意的例外

请您理解,在下列情形中,根据法律法规及相关国家标准,我们收集和使用您和/或您终端用户的个人信息无需征得您和/或您的终端用户的授权同意:

A.与公共安全、公共卫生、重大公共利益直接相关的;

B.出于维护您或其他个人的生命、财产等重大合法权益但又很难得到本人同意的;

C.所收集的您和/或您的终端用户的个人信息是您自行向社会公众公开的;

D.从合法公开披露的信息中收集的您和/或您的终端用户的个人信息的,如合法的新闻报道、政府信息公开等渠道;

E.根据您的要求签订或履行合同所必需的;

F.用于维护软件及相关服务的安全稳定运行所必需的,例如发现、处置软件及相关服务的故障;

G.法律法规规定的其他情形。

 

、我们如何使用 Cookie等同类技术

为了优化风险识别服务,您使用风险识别时,我们可能会通过小型数据文件识别最终用户的身份。这些数据文件可能是Cookie、Flash Cookie,或最终用户的浏览器或关联应用程序提供的其他本地存储(以下合称“Cookie”),Cookie存储数据通常包含标识符、站点名称以及一些号码和字符。网页上常会包含一些电子图像(称为“单像素GIF 文件”或 “网络 Beacon”),使用网络Beacon可以帮助网站计算浏览网页的用户或访问某些Cookie,我们会通过网络Beacon收集最终用户浏览网页活动的信息,例如最终用户访问的页面地址、最终用户先前访问的援引页面的位址、最终用户停留在页面的时间、最终用户的浏览环境以及显示设定等。

 如果最终用户的浏览器或浏览器附加服务允许,最终用户可以打开浏览器的设置选项,选择隐私设置,勾选“不跟踪”,或者禁止Cookie,这样最终用户的数据将不会被我们追踪到,但最终用户拒绝风险识别的Cookie在某些情况下您可能无法正常识别欺诈或者作弊风险 

三、 我们如何共享、转让、公开披露您以及您最终用户的个人信息

1、共享

我们对您的信息承担保密义务,不会为满足第三方的营销或非法目的而向其出售或出租您以及最终用户的信息。除下列情况外,我们不会与任何第三方共享您最终用户的个人信息:

(1)事先获得个人信息权利主体的同意或授权。

(2)根据法律法规的规定或行政或司法机构的要求。

(3)如您最终用户是适格的知识产权投诉人并已提起投诉,应被投诉人要求,向被投诉人披露,以便双方处理可能的权利纠纷。

  2、转让

我们不会向任何第三方转让您最终用户的个人信息,除非以下情形:

(1)获得您最终用户的同意。

(2)在涉及合并、收购或破产清算时,如涉及到个人信息转让,我们会在要求新的持有您最终用户个人信息的公司、组织继续受此隐私政策的约束,否则我们将要求该公司、组织重新向您最终用户征求授权同意。

  3、公开披露 

我们仅会在以下情况下,公开披露您最终用户的个人信息

(1)获得您或您最终用户明确同意;

(2)基于法律的披露:在法律、法律程序、诉讼或政府主管部门强制性要求的情况下,我们可能会公开披露您或您最终用户的个人信息。

(3)在紧急情况下,经合理判断是为了保护我们、我们的客户、最终用户或其他人的重要合法权益。

 

四、 我们如何保护您以及您最终用户的个人信息

为了保障您以及您最终用户的信息安全,我们将按照行业通行标准、努力采取合理的物理、电子和管理方面的安全措施来保护您的信息,并尽最大合理努力使您以及您最终用户的信息不会被泄漏、毁损或者丢失。在您的浏览器与服务器之间交换数据时受 SSL协议加密保护;我们对网站提供HTTPS协议安全浏览方式;我们会使用加密技术提高个人信息的安全性;我们会使用受信赖的保护机制防止个人信息遭到恶意攻击;我们会部署访问控制机制,尽力确保只有授权人员才可访问个人信息;以及我们会举办安全和隐私保护培训课程,加强员工对于保护个人信息重要性的认识。

我们有行业先进的以数据为核心、围绕数据生命周期进行的数据安全管理体系,从组织建设、制度设计、人员管理、产品技术等方面多维度提升整个系统的安全性。

我们收集的信息保存于不向公众开放的安全运行环境之中。为避免未经授权访问您的信息,我们将其保存在有防火墙保护并可能加密的服务器之中。但是,没有任何系统是绝对安全的,请您理解在信息网络上不存在“完善的安全措施”。即使我们做出了很大努力,仍有可能无法杜绝对您以及您最终用户的个人信息的非法访问。此外,由于无法判断他人的陈述是否属实,我们可能会被不可靠的、有误导性的或非法的信息所蒙蔽。

如不幸发生个人信息安全事件,我们将按照法律法规的要求向您或您的最终用户告知:安全事件的基本情况和可能的影响、我们已采取或将要采取的处置措施、您以及您的最终用户可自主防范和降低风险的建议、对您以及您的最终用户的补救措施等。事件相关情况我们将以邮件、信函、电话、推送通知等方式告知您以及您的最终用户,难以逐一告知个人信息主体时,我们会采取合理、有效的方式发布公告。同时,我们还将按照监管部门要求,上报个人信息安全事件的处置情况。

我们会采取合理可行的措施,尽力避免收集无关的个人信息。我们只会在达成本政策所述目的所需的期限内保留您及您最终用户的个人信息,除非法律有强制的存留要求。而我们判断前述期限的标准包括:

1、完成与您相关的服务目的、维护相应服务及业务记录、应对您可能的业务需求;

2、保证我们为您提供服务的安全和质量;

3、您是否同意更长的留存期间;

4、是否存在保留期限的其他特别约定。

在您的个人信息超出保留期间后,我们会根据适用法律的要求删除您的个人信息,或使其匿名化处理。


五、 您以及您最终用户如何行使个人信息的权利

我们非常重视您和/或您的终端用户对个人信息的管理,并尽全力保护您对个人信息的查询、访问、修改、删除等相关权利,您可以通过以下方式访问及管理您的信息。

(一)针对风险识别的直接用户

1、查询、更正和补充您的信息。

我们将努力使您能审阅、更正或补充您存在我们这里的信息。如需审阅、更正或补充,请访问我们的网站并登录您的账号予以操作。如某项权利的行使无法在账号页面操作,您可以通过本政策中的联系方式与我们联系,我们协助您进行相应操作。

2、删除您的个人信息。

您可以访问我们的网站并登陆您的账号予以操作。如无法在账号页面操作,您可以通过本政策中的联系方式与我们联系请求删除您提供的个人信息:在删除相关信息时,我们可能会要求您进行身份验证,以保障账户安全。以上删除请求一旦被响应,除法律法规另有规定要求保留的信息外,您的个人信息将被删除。

3、账户注销

如您不希望继续使用我们的产品,您可以通过本隐私权政策提供的联系方式联系我们,提交注销账号的申请,我们通常会在15个工作日内回应您的申请需求,但为了您的账号安全,我们会辨别您身份、核实并处理您的请求,我们将需要您提交充分有效的身份信息。账号注销后,我们将不再为您提供服务,如果您希望我们删除您的个人信息,您也可以向我们提交删除您个人信息的申请。

4、获取个人信息副本。您有权通过向我们发送请求,获取您有关个人基本资料的副本。在技术可行的前提下,例如数据接口匹配,我们还可按您的要求,直接将您的个人信息副本传输给您指定的第三方。

如您的最终用户需要获取其个人信息的副本,可以向我们发起请求,当我们完成最终用户的身份核验工作后,将返还其个人信息副本。

5、改变您授权同意的范围。

每个业务功能往往需要收集一些基本的个人信息才能得以运营,对于您个人信息的收集和使用,您可以通过本政策中的联系方式与我们联系要求撤回同意。当您撤回同意后,我们后续将不再收集和使用您相应的个人信息,但请您理解,当您撤回同意或授权后,我们无法继续为您提供撤回同意或授权所对应的特定功能和/或服务。您撤回同意的决定,不会影响此前基于您的授权而开展的个人信息处理。

 (二) 如果您是使用风险识别的最终用户,而不是风险识别的直接客户,我们建议您:

根据应用程序提供商的隐私政策,请将与您个人信息相关的请求直接发送给相关应用程序提供商处理和寻求帮助,风险识别在收到来您自应用程序提供商的相关请求并验证请求的真实合法性后,会积极配合,响应请求。

(三)响应您的上述请求为保障安全。

我们可能会要求先验证您的身份,再处理您的请求。您可能需要提供书面请求,或以其他方式证明您的身份。对于您提出的本节项下的所有请求,我们将于收到您的请求并在验证您用户身份后的15日内进行反馈。

对于您合理的请求,我们原则上不收取费用,但对多次重复、超出合理限度的请求,我们将酌情收取一定费用。对于与您的身份不直接关联的信息、无合理理由重复申请的信息,或者需要过多技术手段(例如,需要开发新系统或从根本上改变现行惯例)、给他人合法权益带来风险或者不切实际的请求,我们可能会予以拒绝。

在以下情形中,按照法律法规要求,我们将无法响应您的请求:

(1)与我们履行法律法规规定的义务相关的;

(2)与国家安全、国防安全直接相关的;

(3)与公共安全、公共卫生、重大公共利益直接相关的;

(4)与刑事犯罪侦查、起诉、审判和执行判决等直接相关的;

(5)有充分证据表明个人信息主体存在主观恶意或滥用权利的;

(6)出于维护个人信息主体或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的;

(7)响应您的请求将导致您或其他个人、组织的合法权益受到严重损害的;

(8)涉及商业秘密的。


六、 我们如何处理未成年人的信息

我们非常重视未成年人的个人信息保护,我们不接受任何未成年人注册成为我们的用户。

如您的应用是针对14周岁以下未成年人而开发的,请您采取必要的措施确保您最终用户的注册与使用均已获得其监护人的同意,同时,您应在您的隐私权政策中履行相应的告知义务。提醒您注意的是,作为未成年人类的应用,您还需要遵守应用市场有关未成年人类应用的审核标准与指南,以免对您的应用上架或正常运营产生影响。

受制于现有技术和业务模式,我们很难主动识别未成年人的信息,如果未成年人的监护人发现存在未经授权而收集未成年人个人信息,监护人可通知本政策中的联系方式与我们来联系删除,如我们自己发现前述情形,我们也会主动予以删除。

 

七、 您以及您最终用户的个人信息存储与全球范围转移

您使用我们提供的服务,我们将在中国境内储存您的数据。为了避免您由于不了解您的最终用户所在国或所在地区关于数据保护相关法规政策而触犯当地的监管规定,我们强烈建议您仅在中华人民共和国大陆地区内使用风险识别服务。如您将风险识别服务应用于中华人民共和国大陆地区以外,应当遵循有关跨境传输转移的法律要求,并承担可能产生的全部风险,如导致风险识别发生任何形式的损失,您负责给予我们全额赔偿。

如您的最终用户未接受本隐私政策而由此引发的一切风险及后果均由您自行承担;风险识别因此遭受任何形式的诉请、诉求、投诉、处罚等的,您将负责全面给予解决;如导致风险识别发生任何形式的损失,您负责给予我们全额赔偿。

若您在欧盟地区提供服务,我们的业务可能需要我们转移您最终用户的个人数据至欧盟以外的国家。这些国家可能提供与欧盟国家不同水平的数据保护。我们作为您最终用户个人数据的接收者,会采取适当的措施以确保履行保密义务,并确保如标准合同条款等措施的执行。


八、 本隐私政策如何更新

我们可能适时会对本隐私政策进行调整或变更,本隐私政策的任何更新将以标注更新时间的方式公布在风险识别网站上。未经您明确同意我们不会限制您按照本政策所应享有的权利。对于重大变更,我们还会提供更为显著的通知(包括通过网站或客户端首页公示的方式进行通知甚至向您提供弹窗提示)。

本政策所指的重大变更包括但不限于:

1、我们的服务模式发生重大变化。如处理用户信息的目的、用户信息的使用方式等。

2、我们在控制权、组织架构等方面发生重大变化。如业务调整、破产并购等引起的所有者变更等。

3、个人信息共享、转让或公开披露的主要对象发生变化。

4、您参与个人信息处理方面的权利及其行使方式发生重大变化;

5、我们负责处理用户信息安全的责任部门、联络方式及投诉渠道发生变化时。

6、个人信息安全影响评估报告表明存在高风险时。

 我们还会将本政策的旧版本在风险识别的专门页面进行存档,供您查阅。

 

九、如何联系我们

如果您对本隐私政策有任何问题、建议或投诉,您可以登录阿里云官网,点击首页下方“联系我们”与我们联系,注明是针对风险识别的问题,我们将在收到咨询后的15个工作日内予以回复。 

需注意的是,我们可能不会回复与本政策或与个人信息保护无关的问题。

如果您对我们的回复不满意,特别是您认为我们的个人信息处理行为损害了您的合法权益,您还可以通过向被告住所地有管辖权的法院提起诉讼来寻求解决方案。